Universidad Nacional De Loja

Auditora informtica
La auditora informtica es un proceso llevado a cabo por
profesionales especialmente capacitados para el efecto, y que
consiste en recoger, agrupar y evaluar evidencias para determinar si
un sistema de informacin salvaguarda el activo empresarial,
mantiene la integridad de los datos, lleva a cabo eficazmente los fines
de la organizacin, utiliza eficientemente los recursos, y cumple con
las leyes y regulaciones establecidas. Permiten detectar de forma
sistemtica el uso de los recursos y los flujos de informacin dentro
de una organizacin y determinar qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando necesidades,
duplicidades, costes, valor y barreras, que obstaculizan flujos de
informacin eficientes.

Auditar consiste principalmente en estudiar los mecanismos de

control que estn implantados en una empresa u organizacin,
determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los cambios que
se deberan realizar para la consecucin de los mismos. Los
mecanismos de control pueden ser directivos, preventivos, de
deteccin, correctivos o de recuperacin ante una contingencia.

Los objetivos de la auditora Informtica son:

El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos

La verificacin del cumplimiento de la Normativa en este mbito

La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en

la empresa como:

Desempeo

Fiabilidad

Eficacia

Rentabilidad

Seguridad

1
 Universidad Nacional De Loja

Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las

siguientes areas:

Gobierno corporativo

Administracin del Ciclo de vida de los sistemas

Servicios de Entrega y Soporte

Proteccin y Seguridad

Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar

para el ejercicio de la auditora informtica ha promovido la creacin y
desarrollo de mejores prcticas como COBIT, COSO e ITIL.

Actualmente la certificacin de ISACA para ser CISA Certified

Information Systems Auditor es una de las ms reconocidas y
avaladas por los estndares internacionales ya que el proceso de
seleccin consta de un examen inicial bastante extenso y la
necesidad de mantenerse actualizado acumulando horas (puntos)
para no perder la certificacin.

PRINCIPIOS Y REGLAS DE AUDITORIA.

Principio: auditar racionalmente significa explicitar sus

finalidades, y deducir de stas los medios y las acciones de
investigacin que se consideren necesarios y suficientes.

La auditora informtica slo tiene sentido si se define su finalidad:

examen de la eficacia o seguridad de un sistema, de la fiabilidad de
una aplicacin, verificacin de la aplicacin, etc.

La finalidad est en emitir un juicio sobre el mangement del sistema

de Informaciones.

Regla : la auditora informtica consiste en

comparar uno o varios actos de management,
desde uno o varios puntos de vista, con los
que deberan ser.

2
 Universidad Nacional De Loja

La auditora informtica siempre llegar a una conclusin cuando los

medios asignados sean suficientes y las acciones sean posibles. La
auditora informtica jams debe empaar su finalidad ni limitarse a
lo que es ms sencillo de examinarlo, pena de que el juicio que emita
carezca de valor al caer fuera de la cuestin verdadera. Debe ser
completa en su finalidad, ya que basta una laguna para que deje de
estar garantizada la solidez de todo el control.

Regla: los medios y las acciones elegidas por el auditor deben

adaptarse exclusivamente a la finalidad de la auditora, siendo
coherentes entre s y, desde luego, fiables y seguros.

En determinados casos la tarea del auditor puede ser muy compleja,

para ello deber dividirla en funciones obteniendo conclusiones
parciales de stas y establecer un plan de aquellas que resulten ser
ms significativas.

Pese a la apariencia de complejidad de la auditora informtica

apreciamos cmo el buen uso del ordenador proporciona una mayor
garanta y fiabilidad que cuando ste no es utilizado.

Tipos de Auditora informtica

Dentro de la auditora informtica destacan los siguientes tipos (entre

otros):

Auditora de la gestin: la contratacin de bienes y servicios,

documentacin de los programas, etc.

Auditora legal del Reglamento de Proteccin de Datos:

Cumplimiento legal de las medidas de seguridad exigidas por el
Reglamento de desarrollo de la Ley Orgnica de
Proteccin de Datos.

Auditora de los datos: Clasificacin de los

datos, estudio de las aplicaciones y anlisis de los
flujogramas.

3
 Universidad Nacional De Loja

Auditora de las bases de datos: Controles de acceso, de

actualizacin, de integridad y calidad de los datos.

Auditora de la seguridad: Referidos a datos e informacin

verificando disponibilidad, integridad, confidencialidad,
autenticacin y no repudio.

Auditora de la seguridad fsica: Referido a la ubicacin de

la organizacin, evitando ubicaciones de riesgo, y en algunos
casos no revelando la situacin fsica de esta. Tambin est
referida a las protecciones externas (arcos de seguridad, CCTV,
vigilantes, etc.) y protecciones del entorno.

Auditora de la seguridad lgica: Comprende los mtodos

de autenticacin de los sistemas de informacin.

Auditora de las comunicaciones. Se refiere a la auditoria de

los procesos de autenticacin en los sistemas de comunicacin.

Auditora de la seguridad en produccin: Frente a errores,

accidentes y fraudes.

La tcnica de la auditora, siendo por tanto aceptables equipos

multidisciplinarios formados por titulados en Ingeniera Informtica e
Ingeniera Tcnica en Informtica y licenciados en derecho
especializados en el mundo de la auditora.

Principales pruebas y herramientas para efectuar una

auditora informtica

En la realizacin de una auditora informtica el auditor puede realizar

las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI

del organismo. Se suelen obtener mediante observacin,
clculos, muestreos, entrevistas, tcnicas de examen analtico,
revisiones y conciliaciones. Verifican asimismo la exactitud,
integridad y validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de

cumplimiento de lo revelado mediante el anlisis de la muestra.
Proporciona evidencias de que los controles claves existen y
que son aplicables efectiva y uniformemente.

4
 Universidad Nacional De Loja

Las principales herramientas de las que dispone un auditor

informtico son:

Observacin

Realizacin de cuestionarios

Entrevistas a auditados y no auditados

Muestreo estadstico

Flujogramas

Listas de chequeo

Mapas conceptuales